2008年3月25日星期二

[PSTZine 0x01][0x01][Introduction]

==Ph4nt0m Security Team==

Issue 0x01, Phile #0x01 of 0x06


|=-----------------------------------------------------------------------=|
|=--------------------------=[ Introduction ]=----------------------=|
|=-----------------------------------------------------------------------=|
|=-----------------------------------------------------------------------=|
|=----------------------------=[ By axis ]=---------------------------=|
|=--------------=[ root_at_ph4nt0m_dot_org ]=---------------=|
|=-----------------------------------------------------------------------=|



安全界正在发生着巨变。随着新技术的推广,安全技术也在不断更新。许多技术在不断成熟,而新的技术则在高速发展。WEB2.0的时代给安全带来了许多新的 元素。XSS、CSRF等成为眼下攻击方式的主流。客户端和桌面安全成为热点;随着操作系统级别对溢出保护越来越完善,以后在内存攻击方面的门槛必然提 高;数据安全和企业信息安全也越来越被关注。

在中国,安全圈子和国外交流太少。语言和文化是一个主要障碍。不管是黑帽还是白帽,大家似乎都更喜欢闷在自己的圈子了。其实中国的安全人士,也有许多宝贵 的经验和心得。为了促进交流,活跃气氛,我们开始制作webzine,与此同时,向黑客们心目中的圣地:phrack 致敬。webzine一年可能会根据情况出三到四期,我们一定会坚持把它做下去。

万事开头难,所以我们第一期采用的是约稿的方式。而在未来的webzine计划里,我们将会采用征稿的方式,希望朋友们踊跃投稿到root@ph4nt0m.org.内容可以是安全方面的任何主题,鼓励创新性的思想。

在本期中,我们首先看到的是来自幻影的tms320带给我们的一个关于压缩alpha2 shellcode decoder的心得。tms320一直在幻影exploit研究院内部潜水,不曾显山露水,“潜龙”不外如是。

接下来是F.Zh写的一篇关于漏洞分析和exploit编写的文章,生动有趣。圈子里熟悉的人应该会知道F.Zh是哪位巨牛的马甲,或者从文风也能看出来,只此一家,别无分号。

然后我写了一点关于企业信息安全的杂谈,因为想写的东西太多了,但一只秃笔实在难以描述清楚,是故索性随性而为,想到哪里写到哪里,算是一个系列的开篇第 一章。这里申明一下,很多人搞不清我的几个id,现在借这个宝地讲清楚,axis、刺、大风 都是我的马甲,下次要是再有人把素破黑误认成我,被黑哥追杀就不太好意思了。

紧跟着是noop牛牛写的关于mac shellcode的心得,果然是有钱淫啊,都玩这种高级货了!建议下次可以考虑研究下iphone上的exploit。

最后则是我们的剑心兄弟带来的关于httponly问题的阐述。在国内这方面文档非常少,可能很多人都还不知道这么个玩意。httponly cookie用好了对网站安全的作用还是挺大的。

本来这期还约了许多大牛的稿,不过由于种种原因只好delay到第二期了。我们希望能做出精品,也希望webzine中能真正吸收到一些“伟大”的里程碑式的文章。

再次向phrack致敬!

.
axis


没有评论: